Bakgrunn

Når du installerer Windows XP Profesional Service Pack 2 (SP2) og har en Small Business Server 2003 som domain kontroller vil du bli fratatt muligheten til å slå av Win XP brannmuren som vist i figuren under.  Dette fordi brannmuren er slått på gjennom group policy via SBS 2003 serveren. Administratorer vil oppdage at Win XP brannmuren ikke kan slås av. Dette er et problem for mange når de har flere brukere og ønsker å fjern installere Symantec Antivirus via Symantec System Center installert på SBS 2003 serveren. I denne artikkelen skal vi se på hvordan vi kan stille group policy på SBS serveren 2003 som åpner nødvendige porter på Windows XP slik at fjern installasjon (remote installasjon) kan utføres og at kommunikasjon kan utføres med Symantec System Center.

Figur 1 - I dette skjermbilde ser vi at Win XP brannmur ikke kan slås av.

Hvilke porter må vi egenlig åpne?

Hvis vi leser manualen for Symantec Antivirus 10 nøye vil vi finne følgende som vist i figur 2. Vi må altså gi Rtvscan.exe (SAV client ( / SAV Server Pds.exe)) anledning til å kommunisere og åpne TCP port 2967 og 139. Hvis gamle versjoner av Symantec er installert så er det i tillegg UDP port 2967.

Figur 2 - Prinsippskisse for porter som må være åpne.

Hva skal vi gjøre?

Vi skal konfigurere SBS 2003 Serveren slik at den åpner for kommunikasjon mot Win XP klienter slik at vi kan fjern installere SAV fra Symantec System Center dvs fra SBS Serveren til alle Win XP klientene i nettverket. For å gjøre dette skal vi stille group policy på SBS 2003 serveren slik at denne konfigurer brannmuren i Win XP klientene på en slik måte av vi kan fjerninstallere SAV og at SAV kan kommunisere med Symantec System Center.

Vi skal gjøre følgende i Win XP brannmuren med Group Policy:

1)      Definere en program unntak for Rtvscan.exe

2)      Definere port unntak for TCP port 2967 og 139

3)      Definere port unntak for UPD port 2967

Har vi noen skjær i sjøen her?

Vel, dersom fil og skriver deling er slått på i Win XP vil port 139 alle rede være åpen. Dobbelt åpning gjennom Group Policy går ikke. Vi kan altså ikke helt ukritisk klaske ting inn. Noen undersøkelser bør gjøres på forhånd.

Figur 3 - Dette skjermbilde er hentet fra en Win XP brannmur. Det viser at fil- og skriverdeling er på og at TCP port 139 allerede er åpnet.

Vi setter i gang

Log på SBS Serveren som Administrator.

Figur 4 - Log på som administrator og Group Policy Management.

Figur 5 – Ekspander items til du finner Small Business Server Windows Firewall, høyreklikk og velg Edit.

Figur 6 - Expander Computer Configuration, Administrativ Templates, Network, Network Connections, Windows Firewall, Domain Profile, velg Windows Firewall, høyreklikk og velg Properties.

Figur 7 - Klikk på Show..., klikk Add og skriv inn %ProgramFiles%\Symantec Antivirus\Rtvscan.exe:*:Enable:Symantec og klikk Ok.

Figur 8 - Klikk Ok, klikk Ok på nytt som vist i figuren.

Figur 9 - Klikk Apply og deretter Ok.

Figur 10 - Klikk på Windows Firewall:Define port Exceptions, høyreklikk og velg Properties.

Figur 11 - Klikk Add på nytt og registrer inn 2967:TCP:*:Enable:Symantec System Center, klikk Ok. Repeter dette for 2967:UDP:*:Enable:Symantec Legacy og eventuelt 139:TCP:*:Enable:Symantec install. Du må velge de som er aktuelle for din SBS 2003 installasjon.

Figur 12 – Oppsummerings vis, du burde nå ha følgende registreringer. Husk å vær nøye med store og små bokstaver samt kolons.

Figur 13 - Klikk Ok.

Figur 14 - Klikk Apply og deretter Ok.

Figur 15 - Lukk alle vinduer, konfigurasjonen er ferdig.

Hvordan kan vi kontrollere det som er gjort?

Vi må nå sjekke at alle PCer har fått den nye Group Policy. PCer må restartes for at den nye GP skal få effekt. Alternativt kan vi kjøre gpupdate.exe fra cmd vindu på PCene for å tvinge frem en Grup Policy oppdatering. I det følgende skal vi gjøre dette, men først skal vi logge på en PC i nettet ved bruk av SBS Server Management panelet via Terminal Services. Husk at SBS 2003 konfigurer automatisk TCP port 3389 som åpen på PCene, slik dette er vist i figuren under.

Figur 16 - Skjermbilde fra Win XP brannmur som viser at TCP port 3389 er opnet med GP fra SBS 2003.

Figur 17 - Skjermbilde fra SBS 2003 Server Management panelet som viser hvordan man kan logge på en PC i nette ved Terminal Services.

Figur 18 - Har her åpnet et cmd vindu ( start – kjør – cmd ) og kjørt kommandoen gpupdate for å tvinge i gjennom en oppdatering av Group Policy på den aktuelle PCen.

Figur 19 - Vi ser her resultatet av våre anstrengelser.

Lykke til!

Dag Staale Jenssen

20.06.2006